Microsoft Exchange Zero-Day

Les chercheurs en sécurité mettent en garde contre des failles jusque-là non divulguées dans des serveurs Microsoft Exchange entièrement corrigés exploités par des acteurs malveillants dans des attaques réelles pour obtenir l’exécution de code à distance sur les systèmes affectés.

C’est selon la société vietnamienne de cybersécurité GTSC, qui a découvert les lacunes dans le cadre de ses efforts de surveillance de la sécurité et de réponse aux incidents en août 2022.

Les deux vulnérabilités, qui n’ont pas encore officiellement reçu d’identifiants CVE, sont en cours suivi par l’Initiative Zero Day comme ZDI-CAN-18333 (score CVSS : 8,8) et ZDI-CAN-18802 (Note CVSS : 6,3).

GTSC a déclaré que l’exploitation réussie des failles pourrait être abusée pour prendre pied dans les systèmes de la victime, permettant aux adversaires de larguer des shells Web et d’effectuer des mouvements latéraux sur le réseau compromis.

La Cyber-Sécurité

« Nous avons détecté des webshells, pour la plupart obscurcis, déposés sur les serveurs Exchange », a déclaré la société. c’est noté. « En utilisant l’agent utilisateur, nous avons détecté que l’attaquant utilise Antsword, un outil d’administration de site Web multiplateforme open source actif basé en Chine qui prend en charge la gestion du shell Web. »

Publicité

Les demandes d’exploitation dans les journaux IIS apparaîtraient dans le même format que les vulnérabilités de ProxyShell Exchange Server, GTSC notant que les serveurs ciblés avaient déjà été corrigés contre les failles révélées en mars 2021.

La société de cybersécurité a émis l’hypothèse que les attaques provenaient probablement d’un groupe de piratage chinois en raison de l’encodage du shell Web en chinois simplifié (Page de codes Windows 936).

Le shell Web China Chopper est également déployé dans les attaques, une porte dérobée légère qui peut accorder un accès à distance persistant et permettre aux attaquants de se reconnecter à tout moment pour une exploitation ultérieure.

Microsoft Exchange Zero-Day

Il est à noter que le Coquille Web China Chopper a également été déployé par Hafnium, un groupe présumé parrainé par l’État et opérant depuis la Chine, lorsque les vulnérabilités de ProxyShell ont été largement exploitées l’année dernière.

D’autres activités de post-exploitation observées par GTSC impliquent l’injection de DLL malveillantes dans la mémoire, la suppression et l’exécution de charges utiles supplémentaires sur les serveurs infectés à l’aide de la ligne de commande WMI (WMIC) utilitaire.

La société a déclaré qu’au moins plus d’une organisation avait été victime d’une campagne d’attaques exploitant les failles du jour zéro. Des détails supplémentaires sur les bogues ont été retenus à la lumière de l’exploitation active.

Nous avons contacté Microsoft pour plus de commentaires, et nous mettrons à jour l’histoire si nous entendons de retour.

La Cyber-Sécurité

Dans l’intervalle, comme solutions de contournement temporaires, il est recommandé d’ajouter une règle pour bloquer les requêtes avec des indicateurs de compromis à l’aide de la Module de règle de réécriture d’URL pour les serveurs IIS –

  • Dans Autodiscover at FrontEnd, sélectionnez l’onglet URL Rewrite, puis sélectionnez Request Blocking
  • Ajoutez la chaîne « .*autodiscover\.json.*\@.*Powershell.* » au chemin de l’URL, et
  • Saisie de condition : choisissez {REQUEST_URI}

« Je peux confirmer qu’un nombre important de serveurs Exchange ont fait l’objet d’une porte dérobée, y compris un pot de miel », a déclaré le chercheur en sécurité Kevin Beaumont dans une série de tweets, ajoutant que « cela ressemble à nouveau à une variante du proxy vers l’interface d’administration ».

« Si vous n’exécutez pas Microsoft Exchange sur site et que vous n’avez pas Outlook Web App face à Internet, vous n’êtes pas affecté », a déclaré Beaumont. a dit.


Rate this post
Publicité
Article précédentAmazon actualise les haut-parleurs Echo pour qu’ils agissent comme des nœuds de réseau maillé Eero
Article suivantCodes de quête de couleur NARS (octobre 2022)
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici